CORRECTION

Prise de connaissance de l'informatique dans l'entreprise

Incidence sur la fiabilité du

Eléments Description
système d’information
Faible Modérée Elevée

Stratégie informatique
Stratégie élaborée par les entités opérationnelles Le plan directeur date de 5 ans et n’a pas été mis à jour depuis 2 ans + départ du
responsable informatique cette année
Sensibilisation de la direction Le P-DG ne s’occupe pas des aspects informatiques mais le principal associé a
en charge la fonction informatique
Satisfaction des besoins utilisateurs Peu d'information sur ce thème
Fonction informatique
Organisation de la fonction informatique
Organisation informatique Le directeur financier pourtant non spécialisé a toute l’informatique sous sa
responsabilité
Séparation des tâches Pas de séparation des tâches, le travail de M. Aloé n’est pas supervisé
Externalisation La société Indigo assure la maintenance et est propriétaire des programmes
sources des applications
Compétences informatiques
Niveau de compétence Des intérimaires travaillent sur les clôtures comptables ; M. Aloé, directeur
financier n’a pas de compétences spécifiques en informatique
Charge de travail Volumes de plus en plus importants à traiter
Niveau de rotation Le directeur financier n’a pas de remplaçant prévu en cas d’absence
Importance de l'informatique dans l'entreprise
Degré d’automatisation 4 applications interfacées entre elles couvrent les principaux processus métier de
la société
Caractéristiques du système d’information Système d’information et architectures simples
Sensibilité de l’informatique Fichiers clients avec leurs coordonnées bancaires sont des données sensibles
Indisponibilité Les applications de gestion commerciale et stock sont indispensables pour
mener l’activité de vente de produits
 Complexité du système d’information
Intégration Toutes les applications sont interfacées entre elles mais certaines interfaces sont
entièrement manuelles (architecture simple)
Documentation Peu de documentation, l’ancien directeur informatique est parti sans laisser
d’instructions

Conclusion concernant la prise de connaissance de l'environnement informatique

L’incidence de l’environnement informatique sur les opérations de l’entreprise est très significative, en conséquence, il conviendra, lors de l’examen du contrôle interne, de
prendre en considération les points suivants
:
 la conception et l’acquisition des solutions informatiques,
 la distribution et le support informatique,
 la gestion de la sécurité,
 la gestion des projets informatiques.

Description du système d’information de l’entreprise

1) Cartographie générale des applications
Cartographie applicative de Siban
2) Inventaire des principales applications informatiques
Date de Editeur /
Environnemen Mode Date de
Nom de Principales mise prestataire / Nature des Estimation du
Type t / système traitemen modificatio
l’application fonctionnalités en Développemen sorties volume traité
d’exploitation t n
service t interne
Phytimmo Gestion des 1999 Unix Différé Editeur Indigo N/A Immobilisations 200
Progiciel immobilisations immobilisations
Phytoventes Développement Gestion 1999 Unix Temps Editeur Indigo N/A Factures, 10 000 ventes
spécifique commerciale réel marges par mois
Phytostocks Développement Gestion des 1999 Unix Temps Editeur Indigo N/A Stocks, 200 références
spécifique achats et des réel commandes de produits
stocks factures
Phytocompta Progiciel Comptabilité 1999 Unix Temps Editeur Indigo N/A Ecritures A préciser
générale réel comptables
 3) Inventaire des principales interfaces

Applications
Nom de l’interface Type Nature des flux Fréquence Etat des anomalies
Amont / Aval
Interface 1 Automatique Phytoventes / Phytostocks Ventes Temps réel Etat W1
Interface 2 Manuelle Phytoventes / Phytocompta Données comptables ventes Quotidienne Etat X1
Interface 3 Automatique Phytimmo / Phytocompta Données comptables immobilisations Hebdomadaire Etat Y1
Interface 4 Automatique Phytostocks / phytocompta Données comptables stocks Quotidienne Etat Z1

4) Identification des processus à analyser

Phytovente Phytostock Phytimmo Phytocompta
Processus ventes X X
Processus achats X
Processus stocks X
Processus immobilisations X
Processus comptabilité X

Conclusion concernant les caractéristiques du système d’information

Le processus Ventes, étant considéré comme le plus sensible, fera l’objet d’une analyse approfondie afin d’identifier les anomalies pouvant avoir une incidence significative sur
les comptes ou sur l’information financière diffusée.

Prise en compte des aspects informatiques dans le plan de mission

Il est décidé, pour la première année de mandat, d'examiner avec attention le contrôle interne lié à l'informatique. Il sera procédé dans un premier temps à une appréciation de
l’incidence de la fonction informatique sur le risque inhérent, puis dans un second temps, à une appréciation de l’incidence de l’application des ventes sur le risque lié au
contrôle. Les autres processus Achats, Stocks, Immobilisations, jugés moins critiques feront l’objet d’une prise de connaissance. Leur évaluation approfondie sera réalisée lors
des exercices suivants, en conséquence des contrôles substantifs étendus seront réalisés.
Les cas de non respect des textes légaux et réglementaires identifiés sont les suivants :
 fichier clients non déclaré à la CNIL,
 obligations d’archivage fiscal non satisfaites.
Evaluation des risques

Incidence de l’environnement informatique sur le risque inhérent

Une matrice est proposée afin d’apprécier l’incidence de l’environnement informatique sur le risque inhérent. Pour chaque élément, sont précisées
l’incidence sur la nature et l’étendue des contrôles substantifs à mettre en œuvre et sur la communication au gouvernement d’entreprise.
Incidence de Constats Incidence sur le risque Recommandations Impact Communication au
l’environnement inhérent possible sur gouvernement
informatique sur le les contrôles d’entreprise
risque inhérent substantifs (1)
Stratégie informatique
Stratégie élaborée par M. Ginseng, le directeur Risque de perte du contrôle de Effectuer un état de l’existant, - Oui
les entités informatique de Siban depuis certains processus. identifier l’ensemble des
opérationnelles 5 ans a quitté la société sans Risque de perte d’informations procédures existantes ou à
assurer sa succession. connues de l’ancien directeur mettre en place.
M. Aloé, directeur financier, a informatique.
repris la fonction de directeur
informatique en attendant
l’embauche d’un spécialiste,
mais ne contrôle pas encore
tous les processus.
Sensibilisation de la Le schéma directeur Risque de perte de cohérence dans Mener une réflexion sur une - Oui
direction informatique date de 5 ans et l’évolution du système d’information évolution cohérente du
le plan d’évolution n’a pas été si le plan d’évolution n’est pas tenu à système d’information.
mis à jour alors que l’activité jour. Créer un nouveau schéma
de la société est en pleine Le schéma directeur, obsolète risque directeur avec une
évolution. de ne plus être en adéquation avec architecture informatique
Le directeur informatique est les besoins de la société. cible.
parti sans laisser ses Définir le plan d’évolution
documents de travail et le P- pour les exercices à venir.
DG ne s’est jamais impliqué
dans ses travaux.
Satisfaction des Aucune information sur ce - - - -
besoins utilisateurs thème.
Fonction informatique
Fonction
informatique
Organisation Le directeur informatique, M. Trop de fonctions assurées par une Affecter une ressource à la Réaliser des Oui
 informatique Ginseng et M. Aloé à présent, même personne. fonction informatique ou tests plus
Séparation des tâches est seul à s’occuper de tous Pas de supervision extérieure. externalisation de la fonction précis afin de
les aspects informatiques de développement chez un s'assurer de
la société. prestataire. l'absence de
Le P-DG, M. Ding Xian, ne fraudes
supervise pas son travail par
manque de connaissance
technique.
Externalisation La maintenance et le Dépendance trop importante vis-à-vis S’assurer de la fiabilité de - Oui
développement de l’ensemble de la société d’externalisation. Indigo.
des logiciels de Siban sont Difficultés pour changer de Etudier des solutions
externalisés chez le prestataire en cas de permettant d’assurer la
prestataire Indigo. mécontentement sur les prestations continuité du système
Cette société est propriétaire fournies ou de faillite du prestataire. d’information en cas de
des programmes sources des défaillance d'Indigo.
applications développées
.
Compétences
informatiques
Niveau de compétence Le nouveau responsable des Perte de maîtrise du système Former le directeur - Oui
systèmes d’information n'a d’information. informatique.
aucune connaissance en
informatique.
Charge de travail Pas d'information sur ce - - - -
thème.
Niveau de rotation Faible niveau de rotation, Perte de maîtrise du système - - -
mais le responsable d’information.
informatique vient de quitter
la société.
Conception et acquisition des solutions informatiques
Comment sont
achetées et
développées les
solutions informatiques
?
Identification des Pas d'information sur ce - - - -
besoins en nouveaux thème.
outils
Organisation de la Le développement est Perte de maîtrise du système S'assurer que la société - Oui
fonction externalisé auprès de la d’information. garde la maîtrise de ses
 développement / société Indigo. systèmes d’information
paramétrage malgré l'utilisation de
prestataires.
Procédures de N/A. - - - -
développement et de
paramétrage
Comment sont
installés et validés les
nouveaux systèmes
informatiques ?
Tests lors du Les modules en phase de test Risque que des écritures de tests Créer un environnement de Oui Fonction des résultats
démarrage de la sont accessibles dans un soient enregistrées dans le système test spécifique. des tests substantifs
nouvelle application ou environnement de production et ne soient pas effacées lors du Ne donner aux développeurs menés au final
version sur tous les postes. déploiement. que l’accès à cet
Les développeurs (Indigo) ont accès environnement.
à l’environnement de production et
peuvent accéder à l’ensemble des
données du système.
Validation des Pas d'information sur ce - - - -
développements thème.
Niveau de Pas d'information sur ce - - - -
documentation des thème.
outils
Gestion du Pas d'information sur ce - - - -
changement thème.
Comment est assurée
la maintenance du
système
d’information ?
Maîtrise du système M. Ginseng est parti sans Risque de perte de maîtrise du M. Aloé, qui reprend la - Oui
d’information avoir assuré la transition système d’information. gestion informatique, devra
auprès du nouveau se mettre en relation avec le
responsable. prestataire Indigo afin de
reprendre en main le système
d’information.
Maintenance La maintenance du système Si la société Siban souhaite changer Négocier avec la société - Oui
externalisée est externalisée auprès d'une de prestataire et faire évoluer le prestataire une acquisition
société qui est propriétaire système, elle rencontrera de grandes des programmes sources et
des programmes sources. difficultés car elle ne détient pas les être vigilant lors de
programmes sources. l'acquisition ou le
 développement des futures
applications.
Distribution et support informatique
Quelle est la qualité du
support fourni aux
utilisateurs ?
Cellule d'assistance Pas de hot line. Peu de risque étant donné la taille de - - -
(hotline) l'entreprise.
Manuel utilisateur et Pas d'information sur ce - - - -
documentations thème.
disponibles
Formations Le personnel du service Risques de mauvaise utilisation des Demander au personnel les - Oui
informatiques comptabilité n’a reçu aucune applications. formations qu’il souhaite
formation à l’informatique. Risques d’erreurs, de perte de suivre.
Les intérimaires ne sont pas temps... Organiser des formations de
formés à l’utilisation du sensibilisation à l’informatique
logiciel comptable. et aux applications dont ils
ont l’utilisation.
Des formations seront à
mettre en place pour le
déploiement du nouveau
logiciel.
Comment sont gérés
les problèmes
d’exploitation
quotidiens ?
Suivi des Revue régulière des listings Non détection de tentatives Fixer une procédure de revue Oui Des anomalies
performances du d’exploitation et de contrôle. d’intrusion non autorisées. et de conservation des constatées lors des
système Des listings de connexion et Non détection de dysfonctionnements listings de connexions, de interfaces pourraient
d’anomalie existent mais ils dans les interfaces ou dans les contrôles et d’anomalies par mettre en évidence la
ne sont pas régulièrement traitements automatisés internes au le responsable de non exhaustivité des
revus. système d’information. l’exploitation du système comptes
Non détection de modifications d’information.
injustifiées dans les bases tarifs ou
clients.
Disponibilité du Les temps de réponse de Perte de temps. Supprimer les références en - Oui
système l'application de gestion des stock qui ne sont plus
stocks sont très élevés. utilisées.
Envisager d'augmenter la
capacité de la base de
données gérant les stocks.
 Fonction exploitation La fonction est assurée par le Non séparation de fonctions. Former une ou plusieurs - Oui
directeur informatique personnes à la fonction
exploitation.
Historique et Pas d'information sur ce - - - -
surveillances des thème.
activités
Comment sont gérées
les fonctions
externalisées ?
Procédures de choix Pas d'information sur ce - - - -
des sous-traitants thème.
Sous-traitants Les délais d'intervention et la Faible risque de perte de temps. Renégocier le contrat avec - Oui
correspondant aux qualité des renseignements Indigo pour obtenir une
besoins de l’entreprise fournis par Indigo sont jugés amélioration de la qualité de
non satisfaisants par les service.
utilisateurs.
Supervision des Pas d'information sur ce - - - -
activités des sous- thème.
traitants
Contenu des contrats Pas d'information sur ce - - - -
de sous-traitance thème.
Gestion de la sécurité
Comment sont gérées
les sauvegardes ?
Procédure de Procédures de sauvegardes En cas d’incendie ou dégât des eaux Garder une seconde - Oui
sauvegarde et correctes, cependant les dans les locaux de l’entreprise, les sauvegarde dans un lieu
modalités de sauvegardes ne sont pas sauvegardes peuvent être perdues extérieur à la société.
sauvegarde faites en double et effectuées sans pouvoir reconstituer les Effectuer des tests de
régulièrement. données contenues dans les relecture sur des cassettes
cassettes. prises au hasard.
Risque que les données ne puissent Mettre en place une
être relues. procédure quotidienne de
La fréquence des sauvegardes n’est sauvegarde automatique des
pas assez importante. données.
Plan de secours Il n'existe pas de plan de Risque d’indisponibilité longue du SI Renégocier le contrat de - Oui
secours. De plus, le contrat en cas d’incident. maintenance en précisant les
de prestation externe avec Risque de difficultés d’exploitation car délais maximums
Indigo ne précise pas de la disponibilité du serveur est d’intervention.
délais d’intervention. importante pour l’activité de la Changer de société de
La prestation de Indigo ne maintenance si les solutions
 satisfait pas les utilisateurs. société. proposées ne semblent pas
satisfaisantes.
Comment est définie et
mise en œuvre la
sécurité logique ?
Gestion des Pas de politique de gestion Risque de fraude et d’erreurs Créer des profils selon la - Oui
habilitations / profils de profils au sein des d’utilisation (possibilité de fonction occupée au sein de
utilisateurs applications. L’ensemble du modification des tarifs pour un client la société.
personnel disposant d’un mot donné, puis effacement de la
de passe a accès à modification).
l’ensemble des données du Confidentialité des données non
SI en lecture et modification. garantie (les intérimaires ayant
également accès à l’ensemble des
données).
Gestion des mots de Les habilitations et mots de Risque d’accès et de modification Imposer des mots de passe - Oui
passe passe ne sont plus suivis non autorisés à des données de plus de 5 caractères, ne
depuis deux mois : le mot de confidentielles (risque d’autant plus correspondant pas à des
passe de M. Ginseng n’a pas important que le système mots du dictionnaire ou des
été désactivé. d’information de Siban contient des prénoms, avec alternance de
Un mot de passe commun est données sensibles comme les chiffres et de lettres et à
utilisé pour les nouveaux coordonnées bancaires de la base changer régulièrement.
entrants : l’identifiant égal au clients). Les mots de passe communs
mot de passe « Siban » est Risques de fraude par M. Ginseng : il à plusieurs utilisateurs sont à
trop facile à trouver. est parti en désaccord avec la éviter.
direction et connaît parfaitement le SI Reprendre la gestion des
de Siban. habilitations et désactiver les
identifiants des personnes
ayant quitté la société.
Utilisation d’Internet / Pas d'information sur ce - - - -
messagerie thème.
Antivirus L’antivirus est mis à jour tous De nouveaux virus peuvent ne pas Mettre à jour l’antivirus une - Oui
les trois mois. être détectés et infecter le système fois par semaine.
d’information.
Sensibilisation des Le personnel reçoit des Risque de perte de données pour Rédiger et faire signer à - Oui
utilisateurs courriels de mise en garde cause de virus. l’ensemble du personnel une
contre des virus Une mauvaise utilisation du système charte de bonne utilisation du
informatiques. d’information peut entraîner des SI. Verrouiller les postes de
Un intérimaire a été renvoyé pertes de données et une travail.
pour avoir trop téléchargé de indisponibilité du réseau.
fichiers.
La sécurité physique
 est-elle satisfaisante ?
Moyens d’accès aux Toute personne peut avoir Risque de fraude ou d’accès non Accompagner les visiteurs de - Oui
locaux accès aux salles machines et autorisés à des données leur entrée à leur sortie de
bureaux en passant par la confidentielles si une personne mal l’entreprise.
boutique. intentionnée accède aux locaux Surveiller en permanence les
De nuit, une alarme et un informatiques. accès aux locaux.
gardien sécurisent les accès. Fermer la porte d’accès entre
la boutique et les locaux
informatiques.
Protection incendie Pas d'information sur ce - - - -
thème.
Protection électrique Pas d'information sur ce - - - -
thème.
La gestion des projets informatiques
Equipe projet Pas d'information sur ce - - - -
thème.
Découpage du projet Pas d'information sur ce - - - -
en phases thème.
Niveau de Pas d'information sur ce - - - -
documentation thème.
Degré d’implication de Pas d'information sur ce - - - -
la direction dans les thème.
projets
(1) L’impact définitif sur les contrôles substantifs est à apprécier en relation avec l’évaluation du risque lié au contrôle.

Incidence des contrôles applicatifs sur le risque lié au contrôle

1) Description du processus
Le processus « Ventes » se décompose en trois sous-processus :
 la gestion des clients,
 la gestion des commandes,
 la comptabilisation des factures.

a) La gestion des clients

b) La gestion des commandes

c) La comptabilisation des factures

2) Incidence sur le risque lié au contrôle : analyse du processus « Ventes »
(CX) correspond au numéro du contrôle identifié sur les diagrammes de flux.
 Assertions Description du risque Potentialité Identification des Appréciation Incidence Recommandations Impact Communication
théorique du risque contrôles des contrôles sur le possible sur au gouvernement
théorique (Programmés / internes risque les contrôles d’entreprise
utilisateurs) lié au substantifs
contrôle (1)

Gestion des clients

(C2) Les modifications
réalisées sur la base
Suppression de
des clients avec le nom
données clients ou Mise en place d’une
de l’auteur de la
tarifaires compte tenu procédure de revue
Exhaustivité Modérée modification sont Mauvaise Modérée - -
de l’absence de périodique du journal
journalisées.
restriction d’accès à des modifications.
Le journal n’est pas
la base Clients.
systématiquement
analysé.
(C1) La fiche client
n’est enregistrée que si
tous les champs
obligatoires sont saisis.
Erreur de saisie des
(C2) Les modifications
données clients et
réalisées sur la base
des paramétrages
Evaluation Modérée des clients avec le nom Moyenne Faible - - -
qui leur sont attachés
de l’auteur de la
(code TVA,
modification sont
ristournes…).
journalisées.
Le journal n’est pas
systématiquement
analysé.
(C2) Journalisation des
Modification de modifications réalisées
données clients ou sur la base des tarifs Mise en place d’une
tarifaires compte tenu avec le nom de l’auteur procédure de revue
Evaluation Elevée Mauvaise Elevée - -
de l’absence de de la modification. périodique du journal
restriction d’accès à Le journal n’est pas des modifications.
la base Clients. systématiquement
analysé.
Gestion des commandes
Evaluation Erreurs dans la saisie Modérée (C3) Contrôles Moyenne Faible - - -
des commandes. automatiques dans le
masque de saisie des
commandes :
 - Champs obligatoires
renseignés,
- Montant de la facture
positif.
Définition d’une
Fonction des
procédure visant à
Envoi de la facture résultats des tests
Evaluation Modérée Aucun - Modérée informer la Oui
sans livraison. substantifs menés
comptabilité des
au final
livraisons envoyées.
(C4) Contrôle manuel
de cohérence
Erreur dans les bons
Evaluation Modérée systématique entre le Moyenne Faible - - -
de livraison.
bon de commande et le
bon de livraison.
Édition automatique du
Bon de livraison ne
bon de livraison après
Existence correspondant à Modérée Bonne Faible - - -
la validation de la
aucune commande.
commande.
Édition automatique du
Commande non
bon de livraison après
Exhaustivité suivie d’un bon de Modérée Bonne Faible - - -
la validation de la
livraison.
commande.
Définition d’une
Envoi de la livraison procédure visant à
sans facture (bon de s’assurer que
Exhaustivité Élevée Aucun Mauvaise Élevée - -
livraison n’entraînant l’ensemble des
pas de facturation). livraisons est envoyé
avec une facture.
Définition d’une
Comptabilisation de procédure permettant
la facture sur la de s’assurer que Fonction des
mauvaise période l’ensemble des résultats des tests
Rattachement Modérée Aucun Mauvaise Modérée Oui
(non synchronisation factures a bien été substantifs menés
de la facturation et de comptabilisé avant la au final
la livraison). clôture de la période
comptable concernée.
Comptabilisation des factures
Exhaustivité Une facture Création automatique
n’entraîne pas la des écritures
Élevée Bonne Faible - - -
création d’écritures comptables dès
comptables. l’édition des factures.
 Exhaustivité Perte de données au (C5) Revue de l’édition
niveau de l’interface de l’état de contrôle par
Modérée Moyenne Faible - - -
entre Phytoventes et le responsable de
le tableur. l’interface.
Exhaustivité Mise en place d’une
Erreurs de saisie des interface automatique Fonction des
chiffres du tableur entre l’application résultats des tests
Élevée Aucun Mauvaise Élevée Oui
dans le logiciel Phytoventes et substantifs menés
comptable. l’application au final
Phytocompta.
Evaluation Altération des (C5) Revue de l’édition
données au niveau de l’état de contrôle par
Modérée Moyenne Faible - - -
de l’interface avec le le responsable de
tableur. l’interface.
Evaluation Mise en place d’une
Erreurs de saisie des interface automatique Fonction des
chiffres du tableur entre l’application résultats des tests
Élevée Aucun Mauvaise Élevée Oui
dans le logiciel Phytoventes et substantifs menés
comptable. l’application au final
Phytocompta.
(1) L’impact définitif sur les contrôles substantifs est à apprécier en relation avec l’évaluation du risque inhérent.

*
Obtention d’éléments probants

Synthèse de l’évaluation des risques

L’analyse des risques des processus informatiques a permis de dégager les points suivants :
 stratégie informatique :
o l’absence d’une stratégie à long terme concernant le système d’information peut entraîner un décalage entre les fonctionnalités offertes par le système et les
besoins réels des utilisateurs,
 fonction informatique :
o l’absence d’une personne spécialisée en charge des questions informatiques et une externalisation non suffisamment maîtrisée peuvent entraîner à terme une
perte de contrôle de certains processus,
 conception et acquisition des solutions informatiques :

o la non séparation entre l’environnement de tests et l’environnement de production peut être à l’origine d’anomalies au niveau des données présentes dans le
système,
o des difficultés à faire évoluer le système en cas de changement de prestataire, la société Siban n’étant pas propriétaire des codes sources,
 distribution et support informatique :
o manque de formation du personnel pouvant être à l’origine d’une mauvaise utilisation du système et d’erreurs de saisie,
o faiblesses dans la gestion des problèmes d’exploitation pouvant être à l’origine de non détection d’intrusions, de dysfonctionnement dans les interfaces et les
traitements,
 gestion de la sécurité :
o pertes de données possibles en raison de faiblesses dans la gestion des sauvegardes,
o fraudes ou erreurs possibles en raison d’une absence de gestion des habilitations.

L’analyse des risques du processus « Ventes » a permis de dégager les points suivants :
 l’absence de contrôle suite à la saisie manuelle des écritures de ventes dans Phytocompta ne permet pas de garantir l’exhaustivité des écritures enregistrées en
comptabilité,
 l’absence de politique de gestion des droits d’accès pourrait remettre en cause l’exactitude des tarifs produits. L’historisation des actions utilisateurs ne suffit pas à
garantir l’intégrité des données,
 dans la situation actuelle, une facture pourrait être enregistrée sur l’exercice N alors que la livraison n’interviendra que sur l’exercice N+1.

Contrôles substantifs
Des contrôles substantifs doivent être réalisés. Il s’agit pour l’essentiel de travaux d’analyse de données consistant à comparer les informations enregistrées dans l’application
Phytoventes avec celles enregistrées dans l’application Phytocompta, afin de s’assurer de l’exhaustivité et de la correcte évaluation des enregistrements des factures :
 vérifier que l’environnement de production ne contient pas de données erronées provenant des jeux de tests,
 identifier les anomalies potentielles au niveau des connexions,
 vérifier l’existence de factures envoyées sans livraisons correspondantes,
 vérifier l’existence d’erreurs de période, au niveau de la comptabilisation de la facturation et de la livraison,
 vérifier l’existence d’erreurs de saisie dans le logiciel comptable à partir des données du tableur.

Opinion sur les comptes

Les travaux effectués n’ont pas relevé de points pouvant avoir une incidence sur l’opinion. Toutefois, les faiblesses relevées concernant les procédures de contrôle interne
doivent faire l’objet d’une communication aux dirigeants.

Communication au gouvernement d’entreprise

Les recommandations suivantes sont adressées au gouvernement d’entreprise :
 L’embauche d’un nouveau directeur informatique est à réaliser rapidement. Le départ de l’ancien directeur informatique a entraîné une perte de la connaissance et de la
maîtrise des processus informatiques de la société. M. Aloé, par manque de temps et de connaissances techniques, ne peut plus assurer la fonction de responsable
informatique. Une perte de la maîtrise des systèmes d’information peut entraîner des dysfonctionnements et un manque de fiabilité des données traitées.
 Le nouveau directeur informatique devra mettre en place un schéma directeur afin de garantir dans le temps la cohérence du système d’information dans son ensemble
et son adéquation aux besoins réels de la société.
 Siban est trop dépendante de la société de maintenance Indigo. Ceci représente un risque car, Indigo est propriétaire des codes sources et a la connaissance de toutes
les applications utilisées par Siban. Elle est également en charge des développements et des évolutions des applications. En cas de désaccord avec la société ou de disparition
de celle-ci, Siban pourrait se retrouver dans l’incapacité de gérer les dysfonctionnements de ces applications.
 Le système d’information utilisé à l’heure actuelle n’est plus adapté au volume de données à traiter (lenteur des traitements et pannes survenant fréquemment) : dans
un premier temps, la société doit mettre en place une politique d’archivage des données afin de réduire le volume des données stockées, puis envisager un changement
progressif des applications et matériels utilisés adaptés à de plus gros volumes de données. Les anomalies détectées peuvent entraîner des indisponibilités plus ou moins
longues du système. Une indisponibilité du système d’information handicaperait grandement l’activité et les processus vitaux de la société, que ce soit au niveau des ventes via
Internet, de la gestion des stocks, des commandes clients et fournisseurs ou des livraisons. En cas d’indisponibilité longue, des difficultés dans l’exploitation pourraient survenir.
 Concernant le projet de migration informatique, un état d’avancement et un suivi des coûts engagés et restant à engager sont à mettre en place. Ceci permettrait de
chiffrer les frais que le projet devrait occasionner dans les exercices à venir. Selon les montants budgétés pour les exercices à venir, la constitution de provisions peut être
envisagée.
 En termes de séparation des fonctions, il peut être préférable de former plusieurs personnes à la fonction exploitation ou d’identifier plusieurs personnes capables de
seconder le responsable informatique dans ses fonctions. Ceci permettrait d’éviter que la gestion informatique ne soit affectée par le départ d’un responsable unique comme ce
fut le cas lors du départ du directeur informatique.
 La sécurité logique et physique du système d’information est à améliorer : la politique des mots de passe et des habilitations est insuffisante à l’heure actuelle : la
gestion des habilitations doit être suivie régulièrement (désactiver au plus vite le mot de passe de M. Ginseng), le personnel doit être sensibilisé aux problèmes de sécurité et
l’antivirus mis à jour régulièrement.

Les risques identifiés doivent conduire la société Siban à renforcer la qualité de son contrôle interne sur ces différents points. Pour ce faire, la société Siban devrait mettre en
place les recommandations suivantes :

 procéder à la revue systématique des états d’anomalie générés par le système,

 définir une politique de gestion des droits d’accès conforme à l’organisation de la société,
 automatiser la génération de la facture après validation du bon de livraison, ou définir une procédure manuelle permettant de s’assurer qu’aucune livraison n’est
effectuée sans envoi de la facture,
 définir une procédure permettant de s’assurer que les factures enregistrées avant la clôture concernent bien la période comptable concernée,
 mettre en place une interface automatisée entre Phytoventes et Phytocompta,
 réaliser une étude visant à assurer la conformité aux obligations fiscales en matière de comptabilité informatisée,
 déclarer à la CNIL l’ensemble des fichiers contenant des données nominatives.